Załącznik do Zarządzenia nr.. Dyrektora Zespołu Szkół Ponadgimnazjalnych w Drawsku Pomorskim z dnia 05 lutego 2014 r. POLITYKA BEZPIECZEŃSTWA INFORMACJI ZESPOŁU SZKÓŁ PONADGIMNAZJALNYCH W DRAWSKU POMORSKIM
Spis treści Podstawa prawna... 3 Podstawowe pojęcia... 4 POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH... 5 I.1 Wykaz miejsc, w których przetwarzane są dane osobowe... 5 I.2 Zbiory danych przetwarzanych w systemach informatycznych i opis struktury przetwarzanych danych osobowych.... 6 I.3 Zbiory danych przetwarzanych tradycyjnie... 8 I.4 System przetwarzania danych osobowych... 11 I.5 Środki techniczne i organizacyjne stosowane w przetwarzaniu danych... 11 I.6 Analiza ryzyka związanego z przetwarzaniem danych osobowych... 15 INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM... 18 II.1 Nadawanie i rejestrowanie uprawnień do przetwarzania danych w systemie informatycznym... 18 II.2 Zabezpieczenie danych w systemie informatycznym... 18 II.3 Zasady bezpieczeństwa podczas pracy w systemie informatycznym... 19 II.4 Tworzenie kopii zapasowych... 20 II.5 Udostępnienie danych... 21 II.6 Przeglądy i konserwacje systemów... 21 II.7 Niszczenie wydruków i nośników danych... 21 INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA DANYCH... 22 III.1 Istota naruszenia danych osobowych... 22 III.2 Postępowanie w przypadku naruszenia danych osobowych... 22 III.3 Sankcje karne... 23 Załączniki... 23 Strona 2 z 31
Podstawa prawna Konstytucja RP (art. 47 i 51) Konwencja nr 108 Rady Europy dotycząca ochrony osób w związku z automatycznym przetwarzaniem danych osobowych Dyrektywa PE i RE z dnia 24 października 1995 r. (95/46/EC) w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (Dz. U. z 2002 r. Nr 101 poz. 926 z późn. zm.) Rozporządzenie MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100 poz. 1024) Kodeks pracy Strona 3 z 31
Podstawowe pojęcia 1 Szkoła w tym dokumencie jest rozumiana, jako Zespół Szkół Ponadgimnazjalnych Drawsku Pomorskim z budynkami przy ulicach: Seminaryjnej 2, Połczyńskiej 7, Złocienieckiej 25; Polityka - w tym dokumencie jest rozumiana jako Polityka bezpieczeństwa obowiązująca w Zespole Szkół Ponadgimnazjalnych Drawsku Pomorskim; Instrukcja w tym dokumencie rozumiana jest jako Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Zespole Szkół Ponadgimnazjalnych Drawsku Pomorskim ; Administrator Bezpieczeństwa Informacji (ABI) pracownik szkoły wyznaczony przez Administratora Danych Osobowych (Dyrektora) do nadzorowania przestrzegania zasad ochrony danych osobowych, oraz przygotowania dokumentów wymaganych przez przepisy ustawy o ochronie danych osobowych w Zespole Szkół Ponadgimnazjalnych Drawsku Pomorskim. ABI powołany jest zarządzeniem Dyrektora Zespołu Szkół Ponadgimnazjalnych Drawsku Pomorskim. Administrator Systemu Informatycznego (ASI) pracownik odpowiedzialny za funkcjonowanie systemu teleinformatycznego, oraz stosowanie technicznych i organizacyjnych środków ochrony stosowanych w tym systemie; Użytkownik systemu osoba upoważniona do przetwarzania danych osobowych w systemie. Użytkownikiem może być osoba zatrudniona w szkole, osoba wykonująca pracę na podstawie umowy zlecenia lub innej umowy cywilno-prawnej, osoba odbywająca staż w szkole; Identyfikator użytkownika jest to ciąg znaków jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym; System informatyczny zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych; Przetwarzanie danych rozumie się to w tym dokumencie, jako jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie; Zabezpieczenie danych w systemie informatycznym wdrożenie i wykorzystywanie stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem; Wysoki poziom bezpieczeństwa musi występować wtedy, gdy przynajmniej jedno urządzenie systemu informatycznego, służące do przetwarzania danych osobowych, połączone jest z siecią publiczną, Sieć lokalna połączenie komputerów pracujących w szkole w celu wymiany danych (informacji) dla własnych potrzeb, przy wykorzystaniu urządzeń telekomunikacyjnych; Sieć publiczna sieć telekomunikacyjna, niebędąca siecią wewnętrzną służąca do świadczenia usług telekomunikacyjnych w rozumieniu ustawy z dnia 21 lipca 2000 r. - Prawo telekomunikacyjne (Dz. U. Nr 73, poz. 852, z poźn. zm.); Sieć telekomunikacyjna urządzenia telekomunikacyjne zestawione i połączone w sposób umożliwiający przekaz sygnałów pomiędzy określonymi zakończeniami sieci za pomocą przewodów, fal radiowych, bądź optycznych lub innych środków wykorzystujących energię elektromagnetyczną w rozumieniu ustawy z dnia 21 lipca 2000 r. Prawo telekomunikacyjne (Dz. U. Nr 73, poz.852 z późń. zm.); Strona 4 z 31
POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH I.1 Wykaz miejsc, w których przetwarzane są dane osobowe 2 LP. ADRES BUDYNEK POMIESZCZENIA ZABEZPIECZENIE 78-500 Drawsko Pom. ul. Seminaryjna 2 gabinet dyrektora, sekretariat kluczami dysponuje dyrektor i sekretarz szkoły; 1. gabinet kierownika praktyk kluczami dysponuje dyrektor, kierownik praktyk, nauczyciel ds. administracyjnych i sekretarz szkoły; archiwum kluczami dysponuje dyrektor i sekretarz szkoły; gabinet pedagoga szkolnego kluczami dysponuje pedagog i sekretarz szkoły; gabinet pielęgniarki szkolnej kluczami dysponuje pielęgniarka i sekretarz szkoły; biblioteka kluczami dysponuje bibliotekarz, klucze dostępne w sekretariacie pokój nauczycielski kluczami dysponują nauczyciele, klucze dostępne w sekretariacie sale lekcyjne klucze dostępne w pokoju nauczycielskim i w sekretariacie LP. ADRES BUDYNEK POMIESZCZENIA ZABEZPIECZENIE 78-500 Drawsko Pom. gabinet dyrektora kluczami dysponuje dyrektor ul. Połczyńska 7 sekretariat i sekretarz szkoły; 1. gabinet wicedyrektora kluczami dysponuje dyrektor, wicedyrektor i sekretarz szkoły; gabinet pedagoga szkolnego / kierownika praktyk kluczami dysponuje pedagog, kierownik praktyk, i sekretarz szkoły; gabinet pielęgniarki szkolnej kluczami dysponuje pielęgniarka, i sekretarz szkoły; biblioteka kluczami dysponuje bibliotekarz, klucze dostępne w sekretariacie pokój nauczycielski kluczami dysponują nauczyciele, klucze dostępne w sekretariacie sale lekcyjne klucze dostępne w pokoju nauczycielskim i w sekretariacie archiwum Strona 5 z 31 kluczami dysponuje dyrektor i sekretarz szkoły;
kadry księgowość Monitoring kluczami dysponuje dyrektor oraz pracownicy kadr; kluczami dysponuje dyrektor oraz pracownicy księgowości; kluczami dysponuje dyrektor oraz sekretarz szkoły LP. ADRES BUDYNEK POMIESZCZENIA ZABEZPIECZENIE 78-500 Drawsko Pom. ul. Złocieniecka 25 gabinet dyrektora sekretariat kluczami dysponuje dyrektor i sekretarz szkoły; 1. gabinet wicedyrektora kluczami dysponuje dyrektor, wicedyrektor i sekretarz szkoły; gabinet pedagoga szkolnego kluczami dysponuje pedagog, klucze dostępne w sekretariacie gabinet pielęgniarki szkolnej kluczami dysponuje pielęgniarka, klucze dostępne w sekretariacie biblioteka kluczami dysponuje bibliotekarz, klucze dostępne w sekretariacie pokój nauczycielski kluczami dysponują nauczyciele, klucze dostępne w sekretariacie sale lekcyjne klucze dostępne w pokoju nauczycielskim i w sekretariacie Monitoring kluczami dysponuje dyrektor oraz sekretarz szkoły archiwum klucze dostępne w pokoju nauczycielskim i w sekretariacie I.2 Zbiory danych przetwarzanych w systemach informatycznych i opis struktury przetwarzanych danych osobowych. 3 ZBIÓR DANYCH OSOBOWYCH PROGRAM INFORMATYCZNY SŁUŻĄCY DO PRZETWARZANIA ZBIORU DANYCH STRUKTURA DANYCH Pracownicy SIO PESEL/płeć/wykształcenie/ nazwa szkoły i rok ukończenia/ warunki zatrudnienia/ staż pracy/ historia pracy, kary, nagrody/ tytuł zawodowy/ zawód wyuczony i wykonywany/ uzyskane kwalifikacje/ nieobecności w pracy MIEJSCE PRZETWARZANIA/ ODPOWIEDZIALNY sekretariat /sekretarz szkoły Strona 6 z 31
Veritum FK-2, Majątek trwały ZETO SIOBestia -ZETO Płatnik Płace, Kadry, Zlecone, Przelewy PROGMAN PESEL/ NIP/ imię/nazwisko/ adres/ data i miejsce urodzenia/ numer konta bankowego PESEL/ NIP/ imię/nazwisko/ adres/ data i miejsce urodzenia/ numer konta bankowego PESEL/ NIP/ imię/nazwisko/ adres/ data i miejsce urodzenia/ numer konta bankowego PESEL/ imię i nazwisko/nazwisko rodowe/ data i miejsce urodzenia/ płeć/adres stały/ numer telefonu/ e- mail/ dowód osobisty (seria i nr, wydany przez, data wydania)/ imię ojca/ imię matki/ stan cywilny i rodzinny/ numer legitymacji służbowej/ posiada gospodarstwo rolne/ emeryt/ rencista/ obywatelstwo obce/ osoba kontaktowa/ wykształcenie/ nazwa szkoły i rok ukończenia/ warunki zatrudnienia/ staż pracy/ staż pracy/ tytuł zawodowy/ nieobecności w pracy PESEL/ imię i nazwisko/nazwisko rodowe/ data i miejsce urodzenia/ płeć/adres stały/ numer telefonu/ e- mail/ dowód osobisty (seria i nr, wydany przez, data wydania)/ imię ojca/ imię matki/ stan cywilny i rodzinny/ numer legitymacji służbowej/ posiada gospodarstwo rolne/ emeryt/ rencista/ obywatelstwo obce/ osoba kontaktowa/ wykształcenie/ nazwa szkoły i rok ukończenia/ warunki zatrudnienia/ staż pracy/ staż pracy/ tytuł zawodowy/ nieobecności w pracy Uczniowie SIO PESEL/imię i nazwisko/ data i miejsce urodzenia/ płeć/adres stały /numer telefonu/e-mail/ dowód osobisty (seria, numer i rodzaj, wydany przez, data wydania)/ imiona, nazwiska i adresy rodziców (opiekunów prawnych)/ stan cywilny/ numer legitymacji szkolnej/ Księgowość, Kadry/ pracownicy księgowości oraz kadr Księgowość, Kadry/ pracownicy księgowości oraz kadr Księgowość, Kadry/ pracownicy księgowości oraz kadr Księgowość, Kadry/ pracownicy księgowości oraz kadr Księgowość, Kadry/ pracownicy księgowości oraz kadr sekretarz szkoły sekretariat/sekretarz szkoły E-dziennik LIBRUS PESEL/imię i nazwisko/ data i miejsce urodzenia/ informacje o wynikach w nauce Świadectwa PESEL/imię i nazwisko/ data i miejsce pracownia Strona 7 z 31 Sale lekcyjne/dyrektor, wicedyrektor, upoważnieni nauczyciele
LIBRUS iarkusz PROGMAN urodzenia/ informacje o wynikach w nauce PESEL/imię i nazwisko/ staż pracy/ historia pracy (kary, nagrody)/ tytuł zawodowy/ ukończone kursy/ uzyskane kwalifikacje/ zawód wyuczony i zawód wykonywany/ warunki zatrudnienia/ nieobecności w pracy komputerowa - nauczyciel informatyki; wychowawca gabinet dyrektora szkoły /dyrektor szkoły KS-SWD PESEL/ imię i nazwisko/ adres pielęgniarka szkolna OFFICE (WORD, EXCELL) PESEL/imię i nazwisko/ data i miejsce urodzenia/ płeć/adres stały /numer telefonu/)/ imiona, nazwiska i adresy rodziców (opiekunów prawnych)/ numer legitymacji szkolnej/ informacje o wynikach w nauce/informacje o dostosowaniach, gabinet dyrektora szkoły /dyrektor szkoły sekretariat /sekretarz szkoły gabinet pedagoga /pedagog szkolny I.3 Zbiory danych przetwarzanych tradycyjnie 4 ZBIÓR DANYCH OSOBOWYC H DOKUMENTACJ A SŁUZĄCA DO PRZETWARZANI A ZBIORU DANYCH MIEJSCE PRZETWARZANIA /ODPOWIEDZIALNY Pracownicy Akta osobowe sekretariat, kadry/sekretarz szkoły, pracownik kadr Ewidencja akt osobowych Orzeczenia lekarskie do celów sanitarnoepidemiologicznych Oświadczenia i wnioski do funduszu socjalnego Listy obecności pracowników Zaświadczenia o zarobkach Kadry/pracownik kadr Kadry/pracownik kadr Kadry/pracownik księgowości sekretariat /sekretarz szkoły Księgowość/pracownik księgowości Strona 8 z 31 ZABEZPIECZENIE szafa pancerna, klucz u sekretarza szkoły oraz pracownika kadr Szafka na klucz/klucz u pracownika kadr Szafka na klucz/klucz u pracownika kadr Szafka na klucz/klucz u pracownika księgowości. szafka na klucz/ klucz u sekretarza szkoły Szafka na klucz/klucz u pracownika księgowości
Uczniowie Protokoły powypadkowe sekretariat /sekretarz szkoły Szafka na klucz /klucz u sekretarza szkoły Arkusz organizacyjny gabinet dyrektora szkoły /dyrektor szkoły szafka na klucz/ klucz u dyrektora Dokumentacja nadzoru gabinet dyrektora szkoły /dyrektor szkoły szafka na klucz/ klucz u dyrektora pedagogicznego Dokumentacja awansów gabinet dyrektora szkoły /dyrektor szkoły szafka na klucz/ klucz u dyrektora zawodowych nauczycieli Ewidencja zwolnień Kadry/pracownik kadr Szafka na klucz/klucz u pracownika kadr lekarskich; Podania; życiorysy/cv Kadry/pracownik kadr Szafka na klucz/klucz u pracownika kadr Dokumentacja gabinet dyrektora szkoły szafka na klucz ubezpieczeniowa /dyrektor szkoły Dokumentacja dotycząca polityki kadrowej opiniowanie awansów, wyróżnień, odznaczeń, nagród, wnioski o odznaczenia, itp; gabinet dyrektora szkoły /dyrektor szkoły szafka na klucz/ klucz u dyrektora Dokumentacja sekretariat /sekretarz szkoły szafa pancerna, klucz uczniów ; u sekretarza szkoły Karty zapisu dziecka/ucznia Księga uczniów sekretariat /sekretarz szkoły szafa pancerna, klucz u sekretarza szkoły Arkusze ocen pokój nauczycielski szafa pancerna, klucz /wychowawca; u sekretarza szkoły sekretariat /sekretarz szkoły Dzienniki lekcyjne pokój nauczycielski, sale lekcyjne/ wychowawca, nauczyciele szafka na klucz Dzienniki nauczania indywidualnego Dzienniki zajęć specjalistycznyc h Strona 9 z 31
Dzienniki zajęć pozalekcyjnych Dziennik zajęć z art.42 KN Dziennik pedagoga Dziennik bibliotekarza Pomoc społeczna, stypendia, wyprawki, obiady Księga wydanych legitymacji i legitymacje Rejestr zaświadczeń i zaświadczenia Księga absolwentów Świadectwa i duplikaty Dokumentacja ubezpieczeniow a Protokoły powypadkowe Karta zdrowia ucznia gabinet pedagoga/ pedagog biblioteka/ bibliotekarz sekretariat /sekretarz szkoły sekretariat /sekretarz szkoły sekretariat /sekretarz szkoły sekretariat /sekretarz szkoły sekretariat /sekretarz szkoły sekretariat /sekretarz szkoły sekretariat /sekretarz szkoły gabinet pielęgniarki/ pielęgniarka Strona 10 z 31 szafka na klucz szafka na klucz szafka na klucz szafa pancerna, klucz u sekretarza szkoły szafka na klucz szafka na klucz, klucz u sekretarza szkoły szafa pancerna, klucz u sekretarza szkoły szafa pancerna, klucz u sekretarza szkoły szafka na klucz, klucz u sekretarza szkoły szafka na klucz Karty szczepień gabinet pielęgniarki/ pielęgniarka szafka na klucz Karty biblioteka szkolna / bibliotekarz szafka na klucz biblioteczne Dokumentacja pomocy psychologiczno - pedagogicznej (opinie, orzeczenia) gabinet pedagoga szkolnego/pedagog szkolny szafka na klucz Ewidencja uczniów przystępujących do egzaminów zewnętrznych gabinet dyrektora szkoły /dyrektor szkoły szafka na klucz, klucz u dyrektora Dokumenty archiwum/ Sekretarz szkoły klucze dostępne w zarchiwizowane sekretariacie Protokóły rad gabinet dyrektora szkoły szafka na klucz, klucz
pedagogicznych, księga uchwał; Umowy zawierane z osobami fizycznymi; Ewidencja decyzji zwolnienia z obowiązkowych zajęć, Deklaracje uczęszczania na religię, sprzeciw od zajęć z wychowania do życia w rodzinie /dyrektor szkoły Księgowość /pracownik księgowości gabinet dyrektora szkoły /dyrektor szkoły gabinet wicedyrektora szkoły /wicedyrektor szkoły u dyrektora szafka na klucz, klucz u pracowników księgowości szafka na klucz, klucz u dyrektora szafka na klucz, klucz u wicedyrektora I.4 System przetwarzania danych osobowych 5 W skład systemu wchodzą: dokumentacja papierowa (korespondencja, dokumenty pracowników i uczniów); wydruki komputerowe; urządzenia i oprogramowanie komputerowe służące do przetwarzania informacji; procedury przetwarzania danych w tym systemie, w tym procedury awaryjne. Sposób przepływu danych pomiędzy poszczególnymi systemami OFFICE PROGMAN OFFICE SIO OFFICE - LIBRUS Sposób przekazywania danych: manualny oraz elektroniczny. 6 Przetwarzanie danych osobowych w systemie informatycznym odbywa się przy zachowaniu wysokiego poziom bezpieczeństwa. I.5 Środki techniczne i organizacyjne stosowane w przetwarzaniu danych I.5.1 Cele i zasady funkcjonowania polityki bezpieczeństwa 7 Realizując Politykę bezpieczeństwa informacji zapewnia ich: Strona 11 z 31
poufność informacja nie jest udostępniana lub ujawniana nieupoważnionym osobom, podmiotom i procesom, integralność dane nie zostają zmienione lub zniszczone w sposób nie autoryzowany, dostępność istnieje możliwość wykorzystania ich na żądanie, w założonym czasie, przez autoryzowany podmiot, rozliczalność możliwość jednoznacznego przypisania działań poszczególnym osobom, autentyczność zapewnienie, że tożsamość podmiotu lub zasobu jest taka, jak deklarowana, niezaprzeczalność uczestnictwo w całości lub części wymiany danych przez jeden z podmiotów uczestniczących w tej wymianie jest niepodważalne, niezawodność zamierzone zachowania i skutki są spójne. 8 Polityka bezpieczeństwa informacji w Szkole ma na celu zredukowanie możliwości wystąpienia negatywnych konsekwencji naruszeń w tym zakresie, tj.: 1) naruszeń danych osobowych rozumianych jako prywatne dobro powierzone Szkole; 2) naruszeń przepisów prawa oraz innych regulacji; 3) utraty lub obniżenia reputacji Szkoły; 4) strat finansowych ponoszonych w wyniku nałożonych kar; 5) zakłóceń organizacji pracy spowodowanych nieprawidłowym działaniem systemów. 9 Realizując Politykę bezpieczeństwa w zakresie ochrony danych osobowych Szkoła dokłada szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności zapewnia, aby dane te były: przetwarzane zgodnie z prawem, zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, merytorycznie poprawne i adekwatne w stosunku do celu, w jakim są przetwarzane, przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. I.5.2 Kompetencje i odpowiedzialność w zarządzaniu bezpieczeństwem danych osobowych 10 Za przetwarzanie danych osobowych niezgodnie z prawem, celami przetwarzania lub przechowywanie ich w sposób niezapewniający ochrony interesów osób, których te dane dotyczą grozi odpowiedzialność karna wynikająca z przepisów ustawy o ochronie danych osobowych lub pracownicza na zasadach określonych w kodeksie pracy. 11 Administrator Danych Osobowych (ADO) Dyrektor Szkoły: formułuje i wdraża warunki techniczne i organizacyjne służące ochronie danych osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę Strona 12 z 31
nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem, decyduje o zakresie, celach oraz metodach przetwarzania i ochrony danych osobowych, wydaje upoważnienia do przetwarzania danych osobowych wg. schematu określonego w załączniku nr 7 wydaje upoważnienie do przetwarzania danych osobowych określając w nich zakres i termin ważności wzór upoważnienia określa załącznik nr 1, odwołuje upoważnienie załącznik nr 2 odpowiada za zgodne z prawem przetwarzanie danych osobowych w Szkole. 12 Administrator Bezpieczeństwa Informacji (ABI) oraz jego zastępcy pracownicy Szkoły wyznaczeni przez Dyrektora: ściśle ze sobą współpracują i egzekwują zgodnie z prawem przetwarzanie danych osobowych w Szkole w imieniu ADO, prowadzą ewidencję osób upoważnionych do przetwarzania danych osobowych wzór rejestru określa załącznik nr 3, ewidencjonują oświadczenia osób upoważnionych o zaznajomieniu się z zasadami zachowania bezpieczeństwa danych wzór oświadczenia określa załącznik nr 4, określają potrzeby w zakresie stosowanych w Szkole zabezpieczeń, wnioskuje do ADO o zatwierdzenie proponowanych rozwiązań i nadzorują prawidłowość ich wdrożenia, udzielają wyjaśnień i interpretują zgodność stosowanych rozwiązań w zakresie ochrony danych osobowych z przepisami prawa, biorą udział w podnoszeniu świadomości i kwalifikacji osób przetwarzających dane osobowe w Szkole i zapewniają odpowiedni poziom przeszkolenia w tym zakresie. 13 Administrator Systemu Informatycznego (ASI) załącznik nr 8 pracownik Szkoły wyznaczony przez Dyrektora: zarządza bezpieczeństwem przetwarzania danych osobowych w systemie informatycznym zgodnie z wymogami prawa i wskazówkami ABI, doskonali i rozwija metody zabezpieczenia danych przed zagrożeniami związanymi z ich przetwarzaniem, przydziela identyfikatory użytkownikom systemu informatycznego oraz zaznajamia ich z procedurami ustalania i zmiany haseł dostępu, nadzoruje prace związane z rozwojem, modyfikacją, serwisowaniem i konserwacją systemu, zapewnia bezpieczeństwo wewnętrznego i zewnętrznego obiegu informacji w sieci i zabezpieczenie łączy zewnętrznych, prowadzi nadzór nad archiwizacją zbiorów danych oraz zabezpiecza elektroniczne nośniki informacji zawierających dane osobowe. 14 Pracownik przetwarzający dane (PPD) pracownik upoważniony przez ABI: chroni prawo do prywatności osób fizycznych powierzających Szkole swoje dane osobowe poprzez przetwarzanie ich zgodnie z przepisami prawa oraz zasadami określonymi w Polityce bezpieczeństwa i Instrukcji zarządzania systemem informatycznym Szkoły, zapoznaje się zasadami określonymi w Polityce bezpieczeństwa i Instrukcji zarządzania systemem informatycznym Szkoły i składa oświadczenie o znajomości tych przepisów. Strona 13 z 31
I.5.3 Zasady udzielania dostępu do danych osobowych 15 Dostęp do danych osobowych może mieć wyłącznie osoba zaznajomiona z przepisami ustawy o ochronie danych osobowych oraz zasadami zawartymi w obowiązującej w Szkole Polityce bezpieczeństwa i Instrukcji zarządzania systemem informatycznym. Osoba zaznajomiona z zasadami ochrony danych potwierdza to w pisemnym oświadczeniu. 16 Dostęp do danych osobowych może mieć wyłącznie osoba posiadająca pisemne oraz imienne upoważnienie wydane przez ADO. 17 ABI może wyznaczyć upoważnionych do przetwarzania danych osobowych pracowników Szkoły do nadzoru nad upoważnionymi pracownikami podmiotów zewnętrznych lub innymi upoważnionymi osobami przetwarzającymi dane osobowe w Szkole. I.5.4 Udostępnianie i powierzanie danych osobowych 18 Dane osobowe mogą być udostępnione osobom i podmiotom z mocy przepisów prawa lub jeżeli w sposób wiarygodny uzasadnią one potrzebę ich posiadania, a ich udostępnienie nie naruszy praw i wolności osób, których one dotyczą. 19 Udostępnienie danych może nastąpić na pisemny wniosek zawierający następujące elementy: adresat wniosku (administrator danych), wnioskodawca, podstawa prawna (wskazanie potrzeby), wskazanie przeznaczenia, zakres informacji. 20 Administrator odmawia udostępnienia danych jeżeli spowodowałoby to naruszenie dóbr osobistych osób, których dane dotyczą lub innych osób. 21 Powierzenie danych może nastąpić wyłącznie w drodze pisemnej umowy, w której osoba przyjmująca dane zobowiązuje się do przestrzegania obowiązujących przepisów ustawy o ochronie danych osobowych. Umowa powinna zawierać informacje o podstawia prawnej powierzenia danych, celu i sposobie ich przetwarzania. 22 Każda osoba fizyczna, której dane przetwarzane są w Szkole, ma prawo zwrócić się z wnioskiem o udzielenie informacji związanych z przetwarzaniem tych danych, prawo do kontroli i poprawiania swoich danych osobowych, a także w przypadkach określonych w art. 32 ust 1 pkt 7 i 8 ustawy o ochronie danych osobowych prawo wniesienia umotywowanego żądania zaprzestania przetwarzania danych oraz sprzeciwu wobec przekazywania ich innym podmiotom. Strona 14 z 31
23 Sprawy związane z udzielaniem informacji w tym zakresie prowadzi ABI, udzielając informacji o zawartości zbioru danych na piśmie zgodnie ze wzorem w załączniku nr 5. I.5.5 Bezpieczeństwo w przetwarzaniu danych osobowych w formie tradycyjnej 24 Pomieszczenia, w których znajdują się przetwarzane zbiory danych osobowych pozostają zawsze pod bezpośrednim nadzorem upoważnionego do ich przetwarzania pracownika. Opuszczenie pomieszczenia, w których znajdują się zbiory danych osobowych musi być poprzedzone przeniesieniem zbioru danych do odpowiednio zabezpieczonego miejsca. Przy planowanej dłuższej nieobecności pracownika pomieszczenie winno być zamknięte na klucz. 25 Klucze do szaf, w których przechowywane są dane osobowe mają jedynie pracownicy upoważnieni do przetwarzania danych osobowych w zakresie zgodnym z kategorią danych. Dostęp do pokoi poza godzinami pracy szkoły jest kontrolowany za pomocą systemu alarmowego. 26 Korzystanie ze zbiorów danych osobowych przez osoby niezatrudnione w Szkole powinno odbywać się po uzyskaniu upoważnienia lub skonsultowane z ABI w przypadku osób upoważnionych do przetwarzania tych danych na podstawie ogólnie obowiązujących przepisów. I.5.6 Bezpieczeństwo w przetwarzaniu danych osobowych w systemach informatycznych 27 Zasady bezpiecznego użytkowania systemu informatycznego zawarte są w Instrukcji zarządzania systemem informatycznym, obligatoryjnej do zapoznania się i stosowania przez wszystkich użytkowników systemu informatycznego szkoły. I.6 Analiza ryzyka związanego z przetwarzaniem danych osobowych I.6.1 Identyfikacja zagrożeń 28 FORMA PRZETWARZANIA DANYCH dane przetwarzane w sposób tradycyjny ZAGROŻENIA oszustwo, kradzież, sabotaż; zdarzenia losowe (powódź, pożar); zaniedbania pracowników szkoły (niedyskrecja, Strona 15 z 31
udostępnienie danych osobie nieupoważnionej); niekontrolowana obecność nieuprawnionych osób w obszarze przetwarzania; pokonanie zabezpieczeń fizycznych; podsłuchy, podglądy; ataki terrorystyczne; brak rejestrowania udostępniania danych; niewłaściwe miejsce i sposób przechowywania dokumentacji; dane przetwarzane w systemach informatycznych nieprzydzielenie użytkownikom systemu informatycznego identyfikatorów; niewłaściwa administracja systemem; niewłaściwa konfiguracja systemu; zniszczenie (sfałszowanie) kont użytkowników; kradzież danych kont; pokonanie zabezpieczeń programowych; zaniedbania pracowników szkoły (niedyskrecja, udostępnienie danych osobie nieupoważnionej); niekontrolowana obecność nieuprawnionych osób w obszarze przetwarzania; zdarzenia losowe (powódź, pożar); niekontrolowane wytwarzanie i wypływ danych poza obszar przetwarzania z pomocą nośników informacji i komputerów przenośnych; naprawy i konserwacje systemu lub sieci teleinformatycznej wykonywane przez osoby nieuprawnione; przypadkowe bądź celowe uszkodzenie systemów i aplikacji informatycznych lub sieci; przypadkowe bądź celowe modyfikowanie systemów i aplikacji informatycznych lub sieci; przypadkowe bądź celowe wprowadzenie zmian do chronionych danych osobowych brak rejestrowania zdarzeń tworzenia lub modyfikowania danych; I.6.2 Sposób zabezpieczenia danych 29 FORMA PRZETWARZANIA DANYCH dane przetwarzane w sposób tradycyjny STOSOWANE ŚRODKI OCHRONY przechowywanie danych w pomieszczeniach zamykanych na zamki patentowe; przechowywanie danych osobowych w szafach zamykanych na klucz; zastosowanie czujników ruchu informujących wyznaczonych pracowników Szkoły o nieautoryzowanym wejściu do budynku; przetwarzanie danych wyłącznie przez osoby posiadające Strona 16 z 31
dane przetwarzane w systemach informatycznych upoważnienie nadane przez ABI; zapoznanie pracowników z zasadami przetwarzania danych osobowych oraz obsługą systemu służącego do ich przetwarzania; kontrola dostępu do systemów; zastosowanie programów antywirusowych i innych regularnie aktualizowanych narzędzi ochrony; systematyczne tworzenie kopii zapasowych zbiorów danych przetwarzanych w systemach informatycznych; składowanie nośników wymiennych i nośników kopii zapasowych w odpowiednio zabezpieczonych szafach; przydzielenie pracownikom indywidualnych kont użytkowników i haseł; stosowanie indywidualnych haseł logowania do poszczególnych programów; właściwa budowa hasła; I.6.3 Określenie wielkości ryzyka 30 Poziom ryzyka naruszenia bezpieczeństwa danych jest niski. Zastosowane techniczne i organizacyjne środki ochrony są adekwatne do stwierdzonego poziomu ryzyka dla poszczególnych systemów, rodzajów zbiorów i kategorii danych osobowych. I.6.4 Identyfikacja obszarów wymagających szczególnych zabezpieczeń 31 Uwzględniając kategorie przetwarzanych danych oraz zagrożenia zidentyfikowane w wyniku przeprowadzonej analizy ryzyka dla systemów informatycznych, stosuje się wysoki poziom bezpieczeństwa. Administrator Bezpieczeństwa Informacji i Administrator Systemów Informatycznych przeprowadzają okresową analizę ryzyka dla poszczególnych systemów i na tej podstawie przedstawiają Administratorowi Danych Osobowych propozycje dotyczące zastosowania środków technicznych i organizacyjnych, celem zapewnienia właściwej ochrony przetwarzanym danym. Strona 17 z 31
INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM II.1 Nadawanie i rejestrowanie uprawnień do przetwarzania danych w systemie informatycznym 32 Przetwarzać dane osobowe w systemach informatycznych może wyłącznie osoba posiadająca pisemne upoważnienie do przetwarzania danych osobowych w Szkole. 33 Za tworzenie, modyfikację i nadawanie uprawnień kontom użytkowników odpowiada ASI. 34 ASI nadaje uprawnienia w systemie informatycznym na podstawie upoważnienia nadanego pracownikowi przez ABI. 35 Usuwanie kont stosowane jest wyłącznie w uzasadnionych przypadkach, standardowo, przy ustaniu potrzeby utrzymywania konta danego użytkownika ulega ono dezaktywacji w celu zachowania historii jego aktywności. 36 Osoby dopuszczone do przetwarzania danych osobowych zobowiązane są do zachowania tajemnicy w zakresie tych danych oraz sposobów ich zabezpieczenia. Obowiązek ten istnieje również po ustaniu stosunku pracy, co jest równoznaczne z cofnięciem uprawnień do przetwarzania danych osobowych. II.2 Zabezpieczenie danych w systemie informatycznym 37 Oprogramowanie wykorzystywane do przetwarzania danych posiada własny system kont (zabezpieczonych hasłami) i uprawnień. Zmiana hasła jest wymuszona automatycznie przez system. 38 W przypadku utracenia hasła użytkownik ma obowiązek skontaktować się z ASI celem uzyskania nowego hasła. 39 System informatyczny przetwarzający dane osobowe musi posiadać mechanizmy pozwalające na odnotowanie faktu wykonania operacji na danych. W szczególności zapis ten powinien obejmować: rozpoczęcie i zakończenie pracy przez użytkownika systemu, operacje wykonywane na przetwarzanych danych, Strona 18 z 31
przesyłanie za pośrednictwem systemu danych osobowych przetwarzanych w systemie informatycznym innym podmiotom nie będącym właścicielem ani współwłaścicielem systemu, nieudane próby dostępu do systemu informatycznego przetwarzającego dane osobowe oraz nieudane próby wykonania operacji na danych osobowych, błędy w działaniu systemu informatycznego podczas pracy danego użytkownika. 40 System informatyczny powinien zapewnić zapis faktu przekazania danych osobowych z uwzględnieniem: identyfikatora osoby, której dane dotyczą, osoby przesyłającej dane, odbiorcy danych, zakresu przekazanych danych osobowych, daty operacji, sposobu przekazania danych. 41 Stosuje się aktywną ochronę antywirusową lub w przypadku braku takiej możliwości przynajmniej raz w tygodniu skanowanie całego systemu (w poszukiwaniu złośliwego oprogramowania ) na każdym komputerze, na którym przetwarzane są dane osobowe. Za dokonywanie skanowania systemu w poszukiwaniu złośliwego oprogramowania (w przypadku braku ochrony rezydentnej) i aktualizację bazy wirusów odpowiada użytkownik stacji roboczej. II.3 Zasady bezpieczeństwa podczas pracy w systemie informatycznym 42 W celu rozpoczęcia pracy w systemie informatycznym użytkownik: 1) loguje się do systemu operacyjnego przy pomocy identyfikatora i hasła (autoryzacja użytkownika w bazie usług katalogowych), 2) loguje się do programów i systemów wymagających dodatkowego wprowadzenia unikalnego identyfikatora i hasła. 43 W sytuacji tymczasowego zaprzestania pracy na skutek nieobecności przy stanowisku komputerowym należy uniemożliwić osobom postronnym korzystanie z systemu informatycznego poprzez wylogowanie się z sytemu lub uruchomienie wygaszacza ekranu chroniony hasłem. 44 W sytuacji gdy wgląd w wyświetlane na monitorze dane może mieć nieuprawniona osoba należy tymczasowo zmienić widok wyświetlany na monitorze lub obrócić monitor (przymknąć ekran laptopa) w sposób uniemożliwiający wgląd w wyświetlaną treść. 45 Użytkownik wyrejestrowuje się z systemu informatycznego przed wyłączeniem stacji komputerowej poprzez zamknięcie programu przetwarzającego dane oraz wylogowanie się z systemu operacyjnego. Strona 19 z 31
46 Zawieszenie korzystania z systemu informatycznego może nastąpić losowo wskutek awarii lub planowo (np. w celu konserwacji sprzętu). Planowe zawieszenie prac jest poprzedzone poinformowaniem pracowników Szkoły przez ASI na co najmniej 30 minut przed planowanym zawieszeniem. 47 Pracownik korzystający z systemu informatycznego zobowiązany jest do powiadomienia ASI w razie: podejrzenia naruszenia bezpieczeństwa systemu; braku możliwości zalogowania się użytkownika na jego konto; stwierdzenia fizycznej ingerencji w przetwarzana dane; stwierdzenia użytkowania narzędzia programowego lub sprzętowego. 48 Na fakt naruszenia zabezpieczeń systemu mogą wskazywać: nietypowy stan stacji roboczej (np. brak zasilania, problemy z uruchomieniem); wszelkiego rodzaju różnice w funkcjonowaniu systemu (np. komunikaty informujące o błędach, brak dostępu do funkcji systemu, nieprawidłowości w wykonywanych operacjach); różnice w zawartości zbioru danych osobowych (np. brak lub nadmiar danych); inne nadzwyczajne sytuacje. II.4 Tworzenie kopii zapasowych 49 Pełne kopie zapasowe zbiorów danych tworzone są 1 razy w ciągu roku. W szczególnych sytuacjach, np. przed aktualizacją lub zmianą oprogramowania lub systemu należy wykonać bezwzględnie pełną kopię zapasową systemu. 50 Odpowiedzialnym za wykonanie kopii danych i kopii awaryjnych jest pracownik obsługujący dany program przetwarzający dane. 51 Kopie przechowywane są w szafie metalowej w sekretariacie Szkoły. 52 Kopie zapasowe zbiorów danych należy okresowo sprawdzać pod kątem ich przydatności do odtworzenia w przypadku awarii systemu. Okresową weryfikację kopii bezpieczeństwa pod kątem ich przydatności do odtworzenia danych przeprowadza ASI. 53 Usuwanie kopii danych następuje poprzez bezpieczne kasowanie. Nośniki danych, na których zapisywane są kopie bezpieczeństwa niszczy się trwale w sposób mechaniczny. Strona 20 z 31